科来APT解决方案

APT攻击的网络解决方案检测、追踪、取证与防护大纲背景与需求分析

产品与关键技术案例分析关于我们12341、APT背景与需求分析高级持续性威胁（APT）：有组织、有明确目的、采用先进技术的复杂网络攻击Flame(2012)，NightDragon(2011)，Stuxnet(2010)，OperationAurora(2009)2011年3月17日，EMC公司宣布遭受APT攻击，攻击者已获得其RSASecurID的一次性密码（OTP）认证产品的有关信息APT攻击逐渐盛行2013年3月20日，新韩银行、农协银行等韩国金融机构的信息系统遭到APT攻击，信息系统瘫痪，服务几近中断攻击策划时间长达8个月，成功潜入韩国金融机构1500次，共使用了76个定制的恶意软件，受害计算机总数达48000台，攻击路径涉及韩国25个地点、海外24个地点。对金融业的安全威胁1、APT背景与需求分析夹杂着各种目的的APT攻击，2013年是最不平凡的一年斯诺登爆料称美国政府入侵中国网络多年棱镜门牵出“上游”监控项目利用WPS2012/20130day针对中国政府部门的定向攻击3684个中国政府站点遭黑客入侵.cn根域名服务器遭遇有史最大的DDOS攻击利用热点的新型APT攻击针对AdobeFlash漏洞的APT攻击如家、锦江之星等酒店的用户信息泄露梭子鱼多个产品惊现SSH后门账户HPD2D/StorOnce备份服务器被爆发现后门DLink路由器固件后门腾达Tenda路由器后门黑客向NSA出售0day漏洞ApacheStruts2框架漏洞人民银行惨遭国外矿工DDOS攻击持续性同发性个人终端突破多攻击向量社工0DAY社工跳板可信通道加密缓慢长期长期窃取战略控制深度渗透1、APT背景与需求分析1、APT背景与需求分析APT攻击的特点Advanced（复杂性）：采用高级攻击技术，突破现有防御体系利用0Day漏洞、结合社交工程，向目标系统发起组合多种技术的攻击Persistent（持久性）：躲过现有检测技术，可长时间潜伏定制恶意软件，通过变形、加密等技术逃避检测，在目标系统内部不断扩散Threat（目的性）：具有明确的攻击目的，造成巨大危害有针对性地收集和窃取高价值的数据，控制和破坏重要信息系统防火墙杀毒软件IDSIPS安全网关AntiSpamWeb攻击钓鱼邮件恶意文件0Day流量加密1、APT背景与需求分析现有网络安全防御体系面临的挑战安全网关基于IP、URL等黑白名单进行控制，无法检测未知内容入侵检测基于攻击特征检测，误报率高，容易被绕过杀毒软件基于代码指纹进行检测，缺乏动态行为深度分析，无法识别未知恶意代码反垃圾邮件基于IP、域名、内容特征检测，难以对抗结合社交工程的定向攻击防火墙基于IP、端口进行拦截，缺乏对内容的深度分析缺乏对未知攻击的检测能力缺乏对流量的深度分析能力1、APT背景与需求分析APT攻击监测的主要思路及挑战原理：将分析样本引入可控虚拟环境，动态解析或运行样本，通过分析样本的

动态处理过程，判断样本中是否包含恶意代码。目的：解决APT攻击中的0Day漏洞利用检测等问题挑战：1、恶意代码的反制；2、全面的用户环境模拟。

动态行为分析技术原理：对网络中的正常行为模式建模，通过分析流量对于正常行为模式的偏离而识别网络攻击。目的：解决APT攻击中的隐蔽传输与内网探测检测等问题挑战：简单准确的定义正常行为模式。

异常流量的检测技术原理：在全流量存储的条件下，回溯分析相关流量，对流量进行深层次的协议解析和应用还原，识别其中是否包含攻击行为。目的：解决APT攻击长期潜伏的发现与追溯问题挑战：1、高性能的数据捕获；2、快速回溯分析能力。

全流量回溯分析技术123大纲背景与需求分析产品与关键技术案例分析关于我们1234实时检测威胁阻断数据还原策略管理警报收集数据展现数据保存追踪取证可疑文件动态分析行为分析2.1、APT检测平台简介2.1、APT检测平台简介分布式平台面向APT攻击的多维网络监测产品恶意文件分析系统多环境虚拟化分析引擎样本文件动态行为实时分析反分析、反虚拟化对抗支持集群化部署C/S架构高速流量数据采集引擎海量协议模糊识别快速流量会话重建实时数据分析上报支持分布式部署C/S架构前端服务系统数据深度关联分析引擎可疑流量识别安全事件智能分析产品集中管理配置前端服务器管理B/S架构分析中心2.2、产品部署产品部署示意图2.3、产品关键技术关键技术1：基于硬件模拟的虚拟化动态分析技术宿主操作系统:LinuxV-CPUV-Mem其他V-Devices操作系统样本文件虚拟化分析环境分析引擎分析结果硬件模拟器指令行为关联样本文件分析中心2.3、产品关键技术关键技术1：基于硬件模拟的虚拟化动态分析技术多协议流量监测基于硬件模拟的虚拟执行环境Email检测电子邮件还原邮件附件检测动态行为实时分析文件释放检测Shellcode检测密码保护检测系统修改检测网络连接检测数据传输检测重启分析检测分析环境智能选取Web检测HTTP文件还原Webmail检测

文件检测网络文件共享FTP文件传输2.3、产品关键技术Sandboxie、影子系统等系统沙箱FireEye本项目产品VMWare、VirtualBox等虚拟软件第一代第二代系统沙箱技术虚拟软件技术硬件模拟技术动态分析的发展和方法对比第三代技术缺陷：需要其他分析工具辅助和具有可检测的软件特征技术缺陷：需要运行分析进程和驱动需要挂载SSDT等系统钩子防检测虚拟机系统完全纯净，不做修改防篡改从模拟硬件直接提取原始数据防穿透所有代码经过模拟器翻译执行防干扰数据提取与数据分析相互隔离XX关键技术2：基于行为异常的流量检测技术2.3、产品关键技术协议模式根据通讯协议的规范，检测发现非规范协议的通信流量检测的异常行为：木马私有控制协议；隐蔽信道；网络状态根据网络运行状态的历史数据统计，形成正常行为轮廓，以此为基础检测异常检测的异常行为：内网探测；应用数据异常网络行为根据业务应用特点定义正常行为轮廓，以此为基础检测异常检测的异常行为：跳板攻击；应用访问异常关键技术3：全流量回溯分析技术2.3、产品关键技术基于索引的海量数据快速检索自主设计的海量数据存储结构和预处理算法1TB数据的检索时间低于3秒钟多维度的网络流量线索分析支持从时间、会话、协议、事件等不同维度进行网络流量追踪分析可根据发现的异常事件进行深度追踪、溯源，快速确定潜在的威胁，全面评估事件的危害大纲背景与需求分析产品与关键技术案例分析关于我们1234背景：某社会科学研究院负责国家社会学科研究和政策研究的院所，国外情报机关对该机构进行了长期的渗透攻击。该研究院对此十分重视，部署了大量了防护设备。影响：发现台湾、美国对该研究院已经长期窃密，发现36台重要的服务器和该机构核心研究员个人主机被渗透，重要的国家社会情报信息和外交政策信息被窃取，造成重大的影响3.1、案例：某研究院被APT攻击发现异常回溯取证业务库可疑邮件警报；黑域名拦截记录；账号信息警报；可疑HTTP警报；分析拦截查看邮件内容；查看附件分析；提取添加黑域名；查看拦截记录；搜寻问题IP；下载原始数据包；分析木马活动情况；提取数据流特征；样本库；特征库；黑域名/黑IP库；攻击、窃密行为模型库；3.2、案例：检测、追踪、取证与防护利用社会工程学伪装的邮件3.2、APT案例分析：伪装邮件将高危附件提取的黑域名添加到黑名单检测到收件人点击了附件而且被植入木马

3.2、APT案例分析：追踪拦截防护找到中马机器，调取其发生窃密行为的时间的原始数据包，还原整个窃密过程，并审计整个窃密行为

3.2、APT案例分析：回溯取证利用账号记录和分析功能，发现境外IP获得了该研究院的所有邮箱账号信息

3.2、APT案例分析：帐号攻击APT（高级持续性威胁）攻击软件漏洞+社会工程学+行为隐蔽以信息窃密为主攻击十分普遍，产品部署点都几乎都有发现传统的安全设备无法防范，如入无人之境。

3.3、APT攻击总结美国同样也面临APT攻击美国已经有非常成熟的防范手段同类产品fireeye（火眼），Macfee同类产品Mandiant利用“火眼”发现来自中国的APT攻击，最终指向总参三部二局美国超过1000家政府单位和大型企业部署“火眼”我国目前大多依靠传统的安全防护手段来发现APT攻击，能力较弱我国在意识和现状非常堪忧，大量的重要数据受到威胁

3.4、总结：中、美如何应对APT攻击大纲背景与需求分析产品与关键技术案例分析关于我们12344.1、关于科来国家认定的高新技术企业和双软企业，在网络协议分析等方面拥有多项核心技术和完全的自主知识产权产品。科来软件的全球商用客户超过5000家，遍布全球97个国家，85个世界500强企业客户。2010年获得网络分析领军企业奖；

2011年获得“中国网络分析行业最佳产品奖”；

2012年科来网络分析系统获“全球最佳科技产品奖”（PCMagazine）。成立于2003年4月，是一家专注于网络安全和网络分析技术和产品研发的高新技术企业。在网络协议分析、特种木马检测与分析等技术方面有10多年的技术积累。4.2、生产基础研发中心公司目前拥有2000平方米的研发中心，研发用设备100多台。测试实验室现有测试实验室占地60平方米，配备了各类测试设备62台。产品组装线拥有专业产品组装测试设备数十套，具备年产1000台的设备组装能力。4.3、客户基础科来在全球全球5000多商业客户，87个世界500强用户